Privolitev v uporabo piškotkov

Pri Informacijskem pooblaščencu (IP) smo dne 21. 2. 2024 prejeli vaše zaprosilo za mnenje glede privolitvene pasice za piškotke, ki ne omogoča, da se posameznik z namestitvijo piškotkov ne bi strinjal. Zanima vas, kako v tovrstnih primerih onemogočite uporabo piškotkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Upravljavec spletne strani mora pred namestitvijo piškotkov na terminalsko napravo uporabnika pridobiti njegovo veljavno privolitev za namestitev piškotkov, razen če uporablja samo nujne piškotke in piškotke za prenos sporočila.

2. Pogoje za veljavno privolitev ureja splošna zakonodaja s področja varstva osebnih podatkov, ki se uporablja tudi pri presoji veljavnosti privolitve naročnika ali uporabnika v namestitev piškotkov na njegovo terminalsko napravo.

3. V praksi se pojavljajo številni načini za izražanje privolitve uporabnika, ki so lahko tudi zavajajoči in uporabniku neprijazni.  Evropski odbor za varstvo podatkov je januarja 2023 izdal poročilo, v katerem je identificiral osem zavajajočih praks, ki se jih upravljavci pogosto poslužujejo. Med tovrstne prakse sodijo tudi primeri, v katerih privolitvena pasica ali drug mehanizem za pridobivanje privolitve ne vsebuje gumba za zavrnitev piškotkov v prvem koraku.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, vključno s presojo veljavnosti privolitve v namestitev piškotkov na navedeni spletni strani.  V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Obveznosti upravljavcev spletnih strani glede piškotkov in drugih tehnologij za sledenje posameznikom ureja Zakon o elektronskih komunikacijah v 225. členu (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2), ki praviloma namestitev piškotkov ali podobnih sledilnih tehnologij na terminalsko napravo uporabnika dovoljuje le v primeru, da je uporabnik v namestitev privolil, potem ko je bil jasno in izčrpno obveščen o okoliščinah obdelave podatkov.

Upravljavec spletne strani mora torej pred namestitvijo piškotkov na terminalsko napravo:

1. naročnika ali uporabnika jasno in izčrpno obvestiti o okoliščinah obdelave podatkov;

2. pridobiti njegovo veljavno privolitev za namestitev piškotkov.

Upravljavcu ni treba pridobiti predhodne privolitve uporabnika le v primeru, da uporablja tim. nujne piškotke in piškotke za prenos sporočila. Nujni piškotki so le tisti, brez katerih ponudnik ne more nuditi storitve informacijske družbe uporabniku, ta pa je obenem jasno izrazil svojo voljo, da to storitev želi. Piškotki za prenos sporočila pa so piškotki, ki jih spletna stran potrebuje, da se prenese sporočilo, saj brez takega piškotka sporočila tehnično ne bi bilo mogoče prenesti v komunikacijskem omrežju. Ker gre za izjemi, ju je treba interpretirati ozko.

Pogoje za veljavno privolitev ureja splošna zakonodaja s področja varstva osebnih podatkov, ki se uporablja tudi pri presoji veljavnosti privolitve naročnika ali uporabnika v namestitev piškotkov na njegovo terminalsko napravo. Splošna uredba privolitev definira kot vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj. Upravljavec spletne strani mora biti sposoben dokazati, da je pridobil veljavno privolitev uporabnika ali naročnika, tako da na primer predloži pisno izjavo posameznika, v spletnem okolju pa s sledljivostjo izbir posameznika.

Dokler uporabnik ne izrazi privolitve na ustrezen način, se piškotki ne smejo nalagati. Izjema so piškotki za prenos sporočila in nujni piškotki, ki se lahko naložijo na napravo uporabnika, tudi če v to ni izrecno privolil. Evropski odbor za varstvo podatkov je izdal smernice glede veljavnosti privolitve v skladu s Splošno uredbo, ki so v slovenskem jeziku dostopne na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.

V praksi se pojavljajo številni načini za izražanje privolitve uporabnika, ki so lahko tudi zavajajoči in uporabniku neprijazni.  Evropski odbor za varstvo podatkov je januarja 2023 izdal poročilo, v katerem je identificiral osem zavajajočih praks, ki se jih upravljavci pogosto poslužujejo. Med tovrstne prakse sodijo tudi primeri, v katerih privolitvena pasica ali drug mehanizem za pridobivanje privolitve ne vsebuje gumba za zavrnitev piškotkov v prvem koraku. Poročilo je dostopno na: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf,

Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka